Почему в России нельзя обеспечить ИБ облаков?

40 %
60 %
Information about Почему в России нельзя обеспечить ИБ облаков?

Published on September 14, 2013

Author: lukatsky

Source: slideshare.net

Почему в России нельзя обеспечить безопасность облачных вычислений Лукацкий Алексей, консультант по безопасности

У меня нет задачи остановить переход к облачным облакам – мы сами их используем повсеместно 2 Число CSP (400+) Sales Finance Manfacturing C&C Platform CDO Consumer IT Customer Service HR Acquisitions Cisco является одним из крупнейших в мире пользователей облачных услуг

ЧТО ТАКОЕ ОБЛАКА?

Три основных типа облака Публичное Гибридное Частное

Составные части любого типа облака 5 Виртуализция Железо ПО Согласование (orchestration) Хранение Сервисы IaaS PaaS SaaS Сервисы Сервисы Сервисы Арендаторы Потребители Сеть Облачные сервисы Облачные вычисления Энерго- снабжение

SaaS - наиболее популярная облачная модель IaaS •  Хранение •  Вычисления •  Управление сервисами •  Сеть, безопасность… PaaS •  Бизнес-аналитика •  Интеграция •  Разработка и тестирование •  Базы данных SaaS •  Биллинг •  Финансы •  Продажи •  CRM •  Продуктивность сотрудников •  HRM •  Управление контентом •  Унифицированные коммуникации •  Социальные сети •  Резервные копии •  Управление документами

Ключевые риски при переходе к облакам •  Сетевая доступность •  Жизнеспособность (устойчивость) •  Непрерывность бизнеса и восстановление после сбоев •  Инциденты безопасности •  Прозрачность облачного провайдера •  Потеря физического контроля •  Новые риски и уязвимости •  Соответствие требованиям

ЧТО ТАКОЕ БЕЗОПАСНОСТЬ?

Что такое информационная безопасность? •  Сохранение конфиденциальности, целостности и доступности информации. Кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотказуемость и надежность –  ГОСТ Р ИСО/МЭК 27002 •  Цель информационной безопасности заключается в защите информации и информационных систем от несанкционированного доступа, использования, раскрытия, перебоев, изменения или уничтожения

За счет чего достигается информационная безопасность? •  Информационная безопасность включает в себя –  Политика в области защиты –  Организация защиты информации –  Менеджмент активов –  Защита человеческих ресурсов –  Физическая безопасность и безопасность окружения –  Управление средствами связи и операциями –  Управление доступом –  Приобретение, разработка и поддержание в рабочем состоянии ИС –  Управление инцидентами –  Менеджмент непрерывности –  Соответствие требованиям

БЕЗОПАСНОСТЬ ОБЛАКА

На каком уровне вы способны обеспечивать безопасность в своей корпоративной сети уже сейчас? •  Вы можете гарантировать отсутствие закладок на аппаратном уровне? •  Вы защищаете и внутреннюю сеть или только периметр? •  Как у вас обстоит дело с защитой виртуализации? А SDN вы не внедряли еще? •  Вы знаете механизмы защиты своих операционных систем? А вы их используете? •  А механизмы защиты своих приложений вы знаете? А используете? •  А данные у вас классифицированы?

Разные возможности по реализации системы защиты для разных сервисных моделей •  В зависимости от архитектуры облака часть функций защиты может решать сам потребитель самостоятельно IaaS Провайдер Заказчик VMs/Containers ОС/Приложения Данные PaaS Приложения Провайдер Заказчик Данные SaaS Провайдер

Типы облачных моделей и средства защиты IaaS •  Заказчик облачных услуг может использовать любые средства защиты, устанавливаемые на предоставляемую аппаратную платформу PaaS •  Заказчик облачных услуг привязан к предоставляемой платформе •  Выбор СЗИ (особенно сертифицированных) ограничен и, как правило, лежит на облачном провайдере •  Заказчик может настраивать функции защиты приложений •  Компромисс между средствами защиты и облачными услугами SaaS •  Заказчик облачных услуг не имеет возможности по выбору средств и механизмов защиты облака •  Выбор лежит на облачном провайдере

Особенности защиты IaaS Защитная мера Нюансы реализации (з / о) Политика в области защиты 50 / 50 Организация защиты информации 50 / 50 Менеджмент активов 50 / 50 Защита человеческих ресурсов 30 / 70 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 35 / 65 Управление доступом 60 / 40 Приобретение, разработка и поддержание в рабочем состоянии ИС 60 / 40 Управление инцидентами 60 / 40 Менеджмент непрерывности 30 / 70 Соответствие требованиям 70 / 30

Защита IaaS: обратите внимание •  Ограничения на установку определенных средств защиты в инфраструктуру облачного провайдера •  Возможность установки собственных средств шифрования •  Экспорт из России средств шифрования –  На все площадки облачного провайдера в разных странах мира •  Обслуживание (замена) вышедших из строя средств защиты, особенно средств шифрования •  Защита данных при доступе с мобильных устройств –  Особенно в контексте шифрования трафика

Особенности защиты PaaS Защитная мера Нюансы реализации (з / о) Политика в области защиты 30 / 70 Организация защиты информации 30 / 70 Менеджмент активов 30 / 70 Защита человеческих ресурсов 20 / 80 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 20 / 80 Управление доступом 30 / 70 Приобретение, разработка и поддержание в рабочем состоянии ИС 50 / 50 Управление инцидентами 45 / 55 Менеджмент непрерывности 20 / 80 Соответствие требованиям 55 / 45

Защита PaaS: обратите внимание •  Насколько модель угроз и стандарты защиты облачного провайдера соответствуют вашим? –  Возможно ли привести их к общему знаменателю?

Особенности защиты SaaS Защитная мера Нюансы реализации (з / о) Политика в области защиты 10 / 90 Организация защиты информации 5 / 95 Менеджмент активов 5 / 95 Защита человеческих ресурсов 5 / 95 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 0 / 100 Управление доступом 5 / 95 Приобретение, разработка и поддержание в рабочем состоянии ИС 0 / 100 Управление инцидентами 5 / 95 Менеджмент непрерывности 0 / 100 Соответствие требованиям 5 / 95

Защита SaaS: обратите внимание •  Насколько модель угроз и стандарты защиты облачного провайдера соответствуют вашим? –  Возможно ли привести их к общему знаменателю? •  Как вообще вы можете повлиять на реализацию и эксплуатацию системы ИБ у облачного провайдера?

Типы облаков с точки зрения ИБ и compliance Частное •  Управляется организацией или третьим лицом •  Обеспечение безопасности легко реализуемо •  Вопросы законодательного регулирования легко решаемы Публичное (локальное) •  Управляется одним юридическим лицом •  Обеспечение безопасности реализуемо средними усилиями •  Вопросы законодательного регулирования решаемы средними усилиями Публичное (глобальное) •  Управляется множеством юридических лиц •  Требования по безопасности различаются в разных странах •  Законодательные требования различаются в разных странах

ОБЛАКА = ПОТЕРЯ КОНТРОЛЯ

Возможности по контролю изменчивы 23 Публичное Гибридное Сообщество Частное Аутсорсинг Инсорсинг Внешнее Внутреннее Возможности по контролю меняются в зависимости от вида эксплуатации, расположения и типа облака

В публичном облаке меньше контроля Частное облако Публичное облако Соответствие Предприятие Облачный провайдер Governance Предприятие Облачный провайдер Безопасность Предприятие Облачный провайдер Эксплуатация Предприятие Облачный провайдер Риски Предприятие Распределены между предприятием и облачным провайдером Владелец облака Предприятие или арендодатель Облачный провайдер Использование ограничено Предприятием Ничем 24

НЕ ЗАБУДЬТЕ И ПРО ДРУГИЕ ВОПРОСЫ

Обратите внимание и на другие вопросы •  Трансграничная передача персональных данных –  Потребует от заказчика облачных услуг получить письменное согласие субъекта персональных данных –  Реализация легального шифрования на площадках в разных странах мира –  Реализация легального шифрования на мобильных платформах •  Обработка государственных информационных ресурсов –  Облачный провайдер не может передавать ГИР за пределы России согласно 351-му Указу Президента –  Облачный провайдер должен соответствовать требованиям 17-го приказа ФСТЭК от 2013-го года –  Облачный провайдер должен использовать только сертифицированные средства защиты и(или) аттестовать свои ИС

Обратите внимание и на другие вопросы •  Облачный провайдер обязан предоставить доступ спецслужбам, правоохранительным и судебным органам по мотивированному (или немотивированному) запросу –  А иногда облачный провайдер и не будет знать, что такой доступ имеется –  А вас он не обязан ставить в известность о таком доступе •  Контроль облачного провайдера –  Вам придется переориентироваться с собственной защиты на контроль чужой защиты –  На каком языке вы будете общаться с зарубежным облачным провайдером? •  Предоставление услуг по защите информации – это лицензируемый вид деятельности –  У облачного провайдера есть лицензии ФСТЭК и ФСБ?

Изменение парадигмы ИБ регуляторов при переходе в публичное облако Один объект = один субъект Один объект = множество субъектов •  Защищать надо не только отдельных субъектов, но и взаимодействие между ними •  С учетом отсутствия контролируемой зоны и динамической модели предоставления сервиса

ТАК ЧТО ЖЕ ВСЕ-ТАКИ ДЕЛАТЬ?

Если вы все-таки решились •  Стратегия безопасности облачных вычислений –  Пересмотрите свой взгляд на понятие «периметра ИБ» –  Оцените риски – стратегические, операционные, юридические –  Сформируйте модель угроз –  Сформулируйте требования по безопасности –  Пересмотрите собственные процессы обеспечения ИБ –  Проведите обучение пользователей –  Продумайте процедуры контроля облачного провайдера –  Юридическая проработка взаимодействия с облачным провайдером •  Стратегия выбора аутсорсера –  Чеклист оценки ИБ облачного провайдера –  Посмотрите мою презентацию с прошлого ИноБЕРЕГа

Cisco Cloud Risk Assessment Framework 31 R1: Data Risk and Accountability R2: User Identity R3: Regulatory Compliance R4: Business Continuity & Resiliency R5: User Privacy & Secondary Usage of Data R6: Service & Data Integration R7: Multi- tenancy & Physical Security R8: Incident Analysis & Forensics R9: Infrastructure Security R10: Non- production Environment Exposure

Выбор облачного провайдера с точки зрения ИБ •  Защита данных и обеспечение privacy •  Управление уязвимостями •  Управление identity •  Объектовая охрана и персонал •  Доступность и производительность •  Безопасность приложений •  Управление инцидентами •  Непрерывность бизнеса и восстановление после катастроф •  Ведение журналов регистрации (eDiscovery) •  Сompliance •  Финансовые гарантии •  Завершение контракта •  Интеллектуальная собственность

© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 33 Благодарю вас за внимание security-request@cisco.com

Add a comment

Related pages

Триптих о небезопасности облаков в России завершен ...

Почему в России нельзя обеспечить ИБ облаков? from Alexey Lukatsky. Правда трилогию я начал с ...
Read more

Триптих о небезопасности облаков в России завершен

... "Почему в России нельзя ... Почему в России нельзя обеспечить ИБ облаков ...
Read more

Как обеспечить безопасность данных в облаках :: NoNaMe

... нельзя мерить ... так как для защиты публичных облаков ... Почему в России ...
Read more

Бизнес без опасности: Облачная ИБ, российские требования ...

... а именно облаков в контексте ... облачной ИБ в России возникает наше ... Почему? Не ...
Read more

сентября 2013 ~ Бизнес без опасности

... по теме ИБ? Почему в ... "Почему в России нельзя ... нельзя обеспечить ИБ ...
Read more

Каталог презентаций по безопасности бизнеса

Почему в России нельзя обеспечить ... Новые акценты в обеспечении ИБ ... Откуда в ...
Read more

Почти половина хакеров хочеть создать свой ИБ-бизнес ...

... себя руководителями в ИБ ... в России. ... в ИБ нельзя обеспечить ...
Read more